Fallos graves en WPA3 permiten acceso a redes y hackeo de contraseñas Wi-Fi
Un grupo de investigadores ha encontrado fallos graves en WPA3, la nueva generación de la tecnología Wi-Fi Protected Access destinada a añadir mayor seguridad en el acceso y transferencia de datos en redes personales y profesionales, que usen la principal norma mundial para conectividad inalámbrica.
Una investigación conocida como DragonBlood ha descubierto que se pueden hackear las contraseñas Wi-Fi establecidas bajo esta norma e incluso, acceder a redes inalámbricas de terceros sin conocer las contraseñas.
Nada es invulnerable y aunque WPA3 es una mejora enorme frente a anteriores versiones del estándar, la investigación plantea serias preocupaciones del futuro de la seguridad inalámbrica, particularmente entre dispositivos de Internet de las Cosas de bajo coste que van a llegar por miles de millones en los próximos años y que será más costoso parchear.
Las vulnerabilidades descubiertas podrían permitir a los atacantes hackear contraseñas de la red Wi-Fi de una manera similar a como se hacía con WPA2, aprovechando el periodo de transición entre las normas. Continúa navegando en https://www.muyseguridad.net
El antivirus de Xiaomi compromete 150 millones de terminales ¡Actualiza!
El propósito de las aplicaciones de seguridad es proteger los dispositivos y los datos del usuario. Sin embargo, una vulnerabilidad en el antivirus de Xiaomi hacía justamente lo contrario y exponía los terminales a ataques. La buena noticia es que ya ha sido parcheada por lo que conviene asegurarse que la tenemos actualizada.
De acuerdo con la firma de seguridad CheckPoint, los problemas reportados residían en una de las aplicaciones preinstaladas por Xiaomi en sus terminales. De nombre Guard Provider, es una app de seguridad desarrollada por Xiaomi que incluye tres programas antivirus diferentes, lo que permite a los usuarios elegir entre Avast, AVL y Tencent.
Dado que Guard Provider está diseñado para ofrecer múltiples programas de terceros dentro de una sola aplicación, utiliza varios Kits de desarrollo de software (SDK), que según los investigadores no son una gran idea porque los datos no se pueden aislar y cualquier problema entre ellos podría comprometer la protección proporcionada por otros. Antes de recibir el último parche, Guard Provider estaba descargando las actualizaciones de firmas de antivirus a través de una conexión HTTP no segura, lo que potencialmente permitía a un atacante interceptar la conexión de red de los dispositivos e inyectar código malicioso o acceder al contenido.
El escenario de ataque real no es tan sencillo como puede parecer y no se conoce que la vulnerabilidad haya sido explotada. Los investigadores de CheckPoint lograron la ejecución remota de código en el dispositivo Xiaomi objetivo después de explotar cuatro problemas separados en dos SDK diferentes disponibles en la aplicación. Continúa navegando en https://www.muycomputer.com/
Telegram Ton Blockchain Network, alternativa de Tor, será lanzada pronto
El servicio de mensajería instantánea Telegram lanzará una prueba beta privada de su blockchain, Telegram Open Network (TON, reportan expertos en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS).
Telegram Open Network está diseñado para tener una velocidad y escalabilidad superiores. En primer lugar, esto significa que puede procesar millones de transacciones en segundos. Además, la red puede alojar millones de transacciones activas y millones de aplicaciones sin comprometer su escalabilidad.
Acorde a los expertos en cómputo forense, las principales blockchain (Bitcoin y Ethereum) realizan 7 y 15 transacciones por segundo, respectivamente. Esta capacidad hace que estas redes sean apenas suficientes para reemplazar tecnologías como Mastercard y VISA. Además, esta restricción aumenta los costos de transacción. La velocidad y escalabilidad de TON es una solución viable que satisface esta necesidad de la comunidad.
Telegram Open Network ejecuta interfaces de usuario intuitivas que facilitan a los usuarios el pedido, la venta y la transferencia de valor. Además, las funciones intuitivas hacen que las aplicaciones descentralizadas se ejecuten sin inconvenientes. Estas capacidades intuitivas proporcionan una capacidad de respuesta superior, un uso sin esfuerzo por parte del usuario y operaciones interactivas. Continúa navegando en
https://noticiasseguridad.com/
Nuevo ataque de secuestro de DNS roba cuentas de Netflix, Gmail en América Latina
Una campaña de secuestro de DNS, activa por al menos tres meses, ha estado atacando a los usuarios de los servicios en línea más populares, como Gmail, Netflix, PayPal, entre otros, reportan especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética.
Como parte de la campaña de ataques, los actores de amenazas han comprometido los enrutadores de los clientes de compañías proveedoras de Internet, modificando la configuración DNS y redirigiendo a las víctimas a sitios web maliciosos para extraer sus credenciales de inicios de sesión.
El principal objetivo de la campaña era redirigir a usuarios desprevenidos de servicios en línea como Netflix, Uber, PayPal o Gmail a sitios fraudulentos y engañarlos para que entregaran sus credenciales de inicio de sesión, reportaron los especialistas de la escuela de hackers éticos. Los especialistas calculan que alrededor de 17 mil enrutadores podrían estar expuestos a esta campaña de secuestro de DNS. Continúa navegando en
https://noticiasseguridad.com/.
Los empleados de Amazon pueden escuchar parte de lo que hablas con Alexa, su asistente digital
Según una investigación de «Bloomberg», la multinacional estadounidense cuenta con un equipo de personas que puede «escuchar» las grabaciones de voz capturadas en los hogares y oficiales de los usuarios de dispositivos Echo. Esos audios, en muchas ocasiones, se transcriben y se revisan para así «entrenar» al software en la mejora del sistema de reconocimiento de voz. El objetivo, en principio, es mejorar el servicio. Así, un dispositivo solo escucha y transmite datos a la nube a partir de identificar la palabra de activación. Las grabaciones se pueden eliminar a través de un apartado dedicado en Configuración de Alexa.
Un hecho del que se puede interpretar que existe una intervención humana para mejorar la experiencia, aunque la compañía reconoce que se trata de un alcance limitado. El software Alexa, integrado en una gran variedad de productos, funciona por medio de comandos de voz e interpelaciones del usuario, aunque no graba las conversaciones constantemente. Únicamente el sistema se «despierta» cuando se invocan las palabras mágicas, generalmente «Alexa».
Los empleados que realizan esta función, tanto desde Amazon como empresas externas, llegan a escuchar hasta mil archivos de audio, por turnos de nueve horas, y Bloomberg recoge la existencia de estos equipos en lugares como Boston (EE.UU), Bucarest (Rumanía), Costa Rica e India. En ocasiones -desvela el informe- pueden «escuchar» grabaciones que pueden resultar ofensivas o que forman parte de un crimen relacionado con violencia de género. Continúa navegando en https://www.abc.es/tecnologia/informatica/
Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad.
¡Hasta la próxima semana!
